Use o playbook Força bruta do ModSec por burst de IP

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Use este playbook para investigar incidentes de tentativas de força bruta nas páginas de login de vários IPs detectados pelo ModSec. As etapas a seguir fornecem um passo a passo das ações, tarefas e subfluxos disponíveis no playbook Força bruta do ModSec por burst de IP.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Procedimento

    1. Quando o playbook é acionado e começa a ser executado, na Ação 1, verifique se o IP de origem pertence a um cliente ou ao endereço IP interno da organização.
    2. Na Ação 2, se o IP de origem pertencer a um cliente ou ao endereço IP interno da organização, execute as seguintes etapas:
      Figura 1. Força bruta de ModSec por playbook de burst de IP
      Tarefas de resposta se o IP de origem pertencer a um cliente ou ao endereço IP interno da organização.
      1. Na Ação 3, verifique se houve atividades suspeitas.
        • Verifique a atividade do IP de origem nos últimos dias. Se o IP tiver tráfego insignificante, isso indica um ataque real.
        • Verifique os nomes de usuário de pulverização. Por exemplo, verifique se os nomes de usuário estão organizados em ordem alfabética.
        • Procure nomes de conta genéricos envolvidos. Por exemplo, admin, sysadmin, root, administrador, e outros nomes de conta de aplicações.

        Se não houver atividades suspeitas, o fluxo será encerrado.

      2. Na Ação 4, se houver atividades suspeitas, na Ação 5, verifique se o histórico de acesso à instância e o nome de usuário parecem genuínos.

        Verifique o. Appnoderegistra quaisquer indicações de falha. Pode haver eventos de falha de SAML, SSO ou LDAP, o que pode ser devido a um problema operacional.

        Se o histórico de acesso à instância e o nome de usuário não parecerem genuínos, o fluxo será encerrado.
      3. Na Ação 6, se o histórico de acesso à instância e o nome de usuário parecerem genuínos, execute as seguintes etapas:
        1. Na Ação 7, coordene com a equipe apropriada para corrigir o problema.
        2. Na Ação 8, documente as descobertas até o momento.
        3. Em Ação 9, conclua a revisão pós-incidente antes de encerrar a tarefa.

          Na Ação 10, o fluxo termina.

    3. Se o IP de origem não pertencer a um cliente ou ao endereço IP interno da organização, na Ação 11, gere um tíquete de suporte de TI para bloquear os IPs de origem.
      Figura 2. Usando a força bruta do ModSec por playbook de burst de IP
      Tarefas de resposta se o IP de origem não pertencer a um cliente ou ao endereço IP interno da organização.
    4. Em Ação 12, redefina as credenciais potencialmente comprometidas.
    5. Na Ação 13, bloqueie o acesso à rede aos sistemas host comprometidos.
    6. Na Ação 14, aplique patch nos dispositivos afetados.
    7. Na Ação 15, levante a contenção e traga os sistemas de volta aos padrões operacionais.
    8. Em Ação 16, conclua a revisão pós-incidente antes de encerrar a tarefa.